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La presente invention se rapporte d'une maniere generale au 
domaine de la gestion de cles cryptographiques dans des reseaux numeriques 
locaux et plus particulierement dans des reseaux numeriques domestiques. 

5 Un tel reseau est constitue d'un ensemble de dispositifs relies entre 

eux par un bus numerique, par exemple un bus selon la norme IEEE 1394. II 
comprend notamment deux types de dispositifs : 

- Des dispositifs sources capables d'emettre des donnees sur le 
reseau : Ces dispositifs peuvent recuperer les donnees a travers un « canal » 

10 externe au reseau. 

- Des dispositifs de presentation, adaptes a recevoir les donnees 
circulant sur le reseau, pour les traiter ou les presenter a Futilisateur. 

Ainsi, si on prend I'exemple d'un reseau numerique domestique 
destine a vehiculer des donnees audio et/ou video dans differentes pieces 

15 d'une maison, les dispositifs sources sont par exemple des decodeurs 
numeriques recevant des programmes video de Pexterieur du reseau, via une 
antenne satellite ou via une connexion au cable, ou bien des lecteurs .de 
disques optiques diffusant sur le resea^, sous forme numerique, des donnees 
(audio et/ou video) lues sur un disque (le disque contient dans ce cas des 

20 donnees provenant de Texterieur du reseau). Les dispositifs de presentation 
sont par exemple des recepteurs de television permettant de visualiser des 
programmes video regus du reseau ou, d'une maniere plus generale tout type 
d'appareil ayant la capacity de dechiffrer des donnees chiffrees. 

Si on se place du point de vue des fournisseurs de contenu qui 

25 fournissent les donnees en provenance de I'exterieur du reseau local, 
notamment des prestataires de services diffusant des programmes televises 
payants ou bien des editeurs de disques optiques par exemple, il est 
necessaire d'eviter que ces donnees transmises ne soient copiees et puissent 
circuler facilement (par exemple en etant copiees sur un disque optique ou tout 

30 autre support d'enregistrement) d'un reseau local a I'autre. 

Pour cela, il est connu de transmettre les donnees sous forme 
secrete en les chiffrant a Taide d'algorithmes de cryptographie utilisant des cles 
qui sont connues au prealable des appareils autorises a recevoir ces donnees 
ou bien qui sont echangees selon des protocoles particuliers securises entre le 

35 fournisseur de contenu et ces appareils. 

La demande de brevet PCT WO 00/62505 au nom de THOMSON 
multimedia, deposee le 31 mars 2000 et revendiquant la priorite d'une demande 
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de brevet francaise au nom du meme demandeur, deposee le 13 avril 1999 et 
publiee sous la reference FR 2792482, concerne un reseau domestique dans 
lequel une cle publique propre au reseau est utilisee pour chiffrer les donnees 
circulant entre des appareils du reseau, typiquement des dispositifs sources 
5 precedemment mentionnes vers des dispositifs de presentation. Seuls les 
appareifs de ce reseau possedent la cle privee correspondant a la cle publique. 
Le couple (cle publique, cle privee) etant specifique au reseau, des donnees 
chiffrees dans le cadre de ce reseau ne peuvent etre dechiffrees par des 
appareils d'un autre reseau. 

io ^utilisation d'un couple de cles asymetriques presente certains 

avantages, mais aussi quelques inconvenients. Un des principaux avantages 
est qu'aucun secret n'est memorise dans les appareils sources: ces appareils 
ont connaissance de la cle publique, mais non de la cle privee. Cependant, la 
mise en oeuvre de cles asymetriques est d'une relative lenteur, par rapport a 

15 celle de cles symetriques. De plus, la duree de vie de cles asymetriques est 
faible, exigeant une revocation periodique et la creation de nouvelles cles. Dans 
ce cas, des donnees chiffrees avec une cle, puis enregistrees, pourraient 
soudainement ne plus etre dechiffrables sur le reseau. De plus, un nombre 
important de paires de cles asymetriques est necessaire. 

20 On sera'rt alors tente par la mise en oeuvre d'une cle symetrique pour 

chiffrer les donnees. Or, cela exigerait que les dispositifs source aient 
connaissance de cette cle, ce qui leur imposerait des contraintes de securite 
accrues et les rendrait par consequent plus onereux. 

La presente invention vise a resoudre les problemes precites. 

25 

L'invention a pour objet un procede de gestion de cle symetrique 
dans un reseau de communication consistant a obtenir dans un dispositif d'un 
premier type contenant : 

- une premiere cle de chiffrement symetrique et 
30 - ladite premiere cle symetrique chiffree avec une seconde cle 

symetrique de reseau connue seulement d'un dispositif d'un second type 
raccorde audit reseau ; 

une nouvelle cle de chiffrement symetrique chiffree par ladite 
seconde cl§ symetrique 
35 procede dans lequel la communication entre le dispositif d'un premier 

type et le dispositif d'un second type est securisee grace a la premiere cle 
symetrique (K c ). 
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Les caracteristtques et avantages de Pinvention apparaTtront a 
travers la description d'exemples de realisation particuliers non limitatifs, 
explicits a I'aide des figures jointes, parmi lesquelles : 
5 - la figure 1 est un schema bloc d'un reseau de communication 

reliant plusieurs appareils dans lequel est mise en oeuvre I'invention; 

- les figures 2 a 5 sont des diagrammes temporels illustrant les 
communications entre un dispositif source de donnees chiffrees et un dispositif 
de presentation desdites donnees dans un tel reseau selon differents modes de 
10 realisation de 1'invention. 

On decrira dans un premier temps un exemple de reseau de 
communication pour illustrer la fagon dont les donnees et les cles diverses sont 
echangees. Par la suite, on d6crira de maniere plus detaillee la gestion 
is proprement dite des cles et leur utilisation pour une transmission de donnees ; - 
securise entre un dispositif source et un dispositif de presentation. 

I] Description du reseau 

v 

20 Sur la figure 1, on a represents un reseau numerique domestique ^ 

comprenant un dispositif source 1, un dispositif de presentation 2 et un ~ 
dispositif d'enregistrement 3 relies ensembles par un bus numerique 4, qui est « 
par exemple un bus selon la norme IEEE 1394. 

Le dispositif source 1 comprend un decodeur numerique 10 dote 

25 d'un lecteur de carte a puce muni d'une carte a puce 11. Ce decodeur regoit 
des donnees numeriques, notamment des programmes audio/video distribues 
par un prestataire de service. 

Le dispositif de presentation 2 comprend un recepteur de television 
numerique (DTV) 20 dote d'un lecteur de carte & puce muni d'une carte a puce 

30 21 et le dispositif d'enregistrement 3 est notamment un magnetoscope 
numerique (DVCR). 

Les donnees num6riques qui entrent sur le reseau via le dispositif 
source 1 sont en general des donnees embrouillees par un fournisseur de 
contenu, par exemple selon le principe de la television payante. Dans ce cas, 

35 les donnees sont embrouillees a I'aide de mots de controle CW (de I'anglais 
« Control Word ») qui sont eux-memes transmis dans le flux de donnees sous 
forme chiffree a I'aide d'une cle de chiffrement Kf en etant contenus dans des 
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messages de controle ECM (de I'anglais « Entitlement Control Message »). La 
cle de chiffrement Kf est mise a la disposition des utilisateurs qui ont paye pour 
recevoir les donnees, notamment en etant stockee dans une carte a puce. 
Dans I'exempie de la figure 1, la carte a puce 11 contient une telle cl§ K F ainsi 
5 qu'un module d'acces conditionnel CA 14 capable de dechiffrer les mots de 
controle CW. 

On notera cependant que bien souvent, I'autorisation de recevoir les 
donnees n'est que temporaire, tant que I'utilisateur paie un abonnement au 
fournisseur de contenu. La cle K F est done modifiee regulierement par le 

10 fournisseur de contenu. Grace au procede qui sera decrit ci-dessous, 
I'utilisateur pourra neanmoins enregistrer des programmes transmis pendant 
qu'il est abonne et les relire autant de fois qu'il le souhaite sur son propre 
reseau, meme lorsque la cle K F aura ete chang6e. Par centre, comme les 
donnees sont enregistrees sous forme embrouillee de la maniere decrite, elles 

15 ne pourront etre relues que sur le r6seau de I'utilisateur qui les a enregistrees. 

Le dispositif source 1 qui re?oit ces donnees numeriques 
embrouillees les met ensuite en forme pour qu'elles soient diffusees sur le 
reseau numerique selon un format de protection specifique au reseau 
domestique. Le decodeur 10 comporte un module « unite ECM » 13 qui extrait 

20 du flux de donnees regu les messages ECM contenant les mots de controle 
chiffres a Taide de la cle K F pour les transmettre au module CA 14. Celui-ci 
dechiffre les mots de controle CW et les transmet a un module convertisseur 12 
egalement contenu dans la carte a puce 11. 

Le module convertisseur 12 contient une cle symetrique K c dont la 

25 generation et la transmission entre les appareils du reseau seront d6crites 
ulterieurement 

On notera que sur la figure 1, le reseau est represents dans I'etat 
dans lequel il se trouve lorsque tous les appareils ont ete raccordes et ont 
echange des cles cryptographiques selon des precedes qui seront decrits 
30 ulterieurement. La figure 1 illustre en particulier, pour le dispositif source 1 et le 
dispositif de presentation 2, toutes les cles contenues dans chaque dispositif. 
Les cles representees ne sont pas forcement presentes a tout moment dans les 
dispositifs. 

En particulier, le dispositif de presentation 2 comporte dans une 
35 memoire une cle symetrique de reseau K N . Cette cle est distribute a tout 
nouveau dispositif de presentation nouvellement connecte au reseau selon un 
procede securis<§ qui ne fait pas I'objet de la presente invention et ne sera pas 
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decrit davantage. De plus, chaque dispositrf de presentation possede une paire 
de cles asymetriques (K PU bt, Krrit), la premiere cle etant privee et la seconde 
publique. Ces cles sont utilisees dans le cadre de I'authentification des 
appareils du reseau, ainsi que pour I'echange initial des cles symetriques 

5 comme on le verra ulterieurement 

Le module convertisseur 12 utilise la cle symetrique Kc pour chiffrer 
les mots de controle CW et il insere ces mots de controle chiffres dans des 
messages notes LECM (de I'anglais « Local Entitlement Control Message »). 
Ces messages LECM ont la meme fonction que les messages ECM inclus dans 

10 le flux de donnees regus initialement, a savoir transmettre les mots de controle 
sous une forme protegee, mais dans les messages LECM, les mots de controle 
CW y sont chiffr6s a I'aide de la cle symetrique K c au lieu d'etre chiffres a I'aide 
de la cle Kf du fournisseur de contenu. 

De preference, la cle K c est frequemment renouvelee, par exemple 

15 lors de initiation de chaque transmission de donnees, dans le but d'eviter que 
le dispositif source ne comporte un secret a long terme, qui exigerait una 
protection renforcee. 

Le module convertisseur 12 insere en outre dans les messages 
LECM la cle symetrique K c elle meme, mais chiffree a I'aide d'une autre clee vV 

20 symetrique K N par un algorithme E2, c'est a dire E2{K N }(Kc). 

Dans le reste de la description, on utilisera toujours la notation, 
« E{K}(M) » pour signifier chiffrement de donnees M par un algorithme E gvec 
une cle K. 

La cle Kn, que nous appellerons dans la suite cle de reseau, ne 
25 reside pas dans Tappareil source 1, mais dans Tappareil de presentation 2. 
Suite a la creation de la cle Kc, cette derniere est transmise de maniere 
securisee a Tappareil de presentation 2, qui la chiffre a I'aide de K N et 
retransmet le resultat a Tappareil source qui le memorise dans le module 
convertisseur 1 2 de sa carte, pour utilisation ulterieure. 
30 Les messages LECM ainsi construits sont ensuite transmis a I'unite 

ECM 13 qui les insere dans le flux de donnees a la place des messages ECM. 
II est a noter que lorsque le contenu re?u n'est pas deja sous forme embrouillee 
comme decrit ci-dessus et ne contient pas de message ECM, le module 
convertisseur 12 est charge dans ce cas de mettre les donnees sous cette 
35 forme pour que le flux de donnees diffuse sur le bus 4 soit toujours sous la 
forme de paquets de donnees tels le paquet 40 represents a la figure 1 
contenant un message LECM et des donnees embrouillees. 
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On peut resumer le contenu de ce paquet comme suit : 

LECM | E4{CW}(<donnees>) ; soit : 

E2{K N }(KC) | E3{K C }(CW) | E4{CW}(<donnees>) ; 

oti « | » represente I'operateur de concatenation. 
5 Les donnees circulent done toujours sous forme chiffree dans le bus 

4, et seuls les appareils ayant acces a la cle symetrique K c sont capables de 
dechiffrer les mots de contrdles CW et done de dechiffrer les donnees. Ces 
appareils sont ceux possedant la cle de reseau K N . Ceci empeche done la 
diffusion vers d'autres reseaux locaux de toute copie effectuee dans le reseau 
10 domestique de la figure 1 . 

Lorsque les paquets de donnees 40 sont recus par le recepteur de 
television numerique 20, ils sont transmis au module « Unite LECM » 23 qui en 
extrait les messages LECM pour les transmettre a un module terminal 22 
contenu dans la carte a puce 21. Ce dernier dechiffre tout d'abord E2{Kn}(K c ) a 
15 I'aide de la cle K N qu'il contient pour obtenir la cle K c . Ensuite, a I'aide de la cle 
K c> il dechiffre E3{K C }(CW) pour obtenir le mot de contrdle CW qu'il transmet au 
module « Unite LECM » 23. Celui-ci est alors en mesure de desembrouiller les 
donnees E4{CW}(<donnees>) a I'aide du mot de controle. Les donnees 
desembrouillees sont ensuite presentees a I'utilisateur. Dans le cas de donnees 
20 video, celles-ci peuvent etre visualisees sur le recepteur de television 20. 

Grace au reseau numerique local qui vient d'etre decrit, le flux de 
donnees numeriques recu d'un fournisseur de contenu est transforme par le 
dispositif source qui le recoit en un flux de donnees dans lequel les donnees 
(ou plus precisement les mots de controle CW) sont chiffrees avec a une cle 
25 symetrique Kc- La cle K c est transmise avec les donnees chiffrees avec son 
aide, en etant elle-meme chiffree a I'aide d'une autre cle symetrique, la cle de 
reseau K N . Le flux de donnees qui circule dans le reseau local contient ainsi 
des donn§es ayant un format specifique a ce reseau local qui ne peuvent etre 
dechiffrees que par les dispositifs de presentation du reseau local qui 
30 contiennent tous la cle du r§seau Kn. 

De plus, comme la cle K c est diffusee avec les donnees (sous forme 
chiffree), elle peut etre enregistree, par exemple par le magnetoscope 
numerique (DVCR) 4, en meme temps que les donnees ce qui permettra un 
acces ulterieur aux donnees chiffrees. 
35 Par ailleurs, comme la cle de reseau K N n'est pas stockee dans les 

dispositifs sources, ceux-ci ne contiennent done pas de secret « long terme », 
exigeant des precautions de s6curit§ accrues. 
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La cle K c doit cependant etre renouvelee frequemment et nous 
allons maintenant decrire plus precisement comment cette cle K c est generee 
et comment son chiffrement a I'aide de la cle de reseau K N est obtenu selon 
differentes variantes. 

5 

II] Generation et gestion de la cle symetrique K c lors d'une premiere 
connexion au reseau d'un dispositif source 

Supposons que le dispositif source 1 vient juste d'etre connecte au 

10 reseau domestique illustre & la figure 1 . II ne possede au depart aucune cle 
dans son module convertisseur 12. 

Le figure 2 illustre les etapes d'un protocole initial permettant au 
dispositif source d'obtenir une cle symetrique K c chiffree a I'aide de la cle de 
reseau Kn detenue par un dispositif de presentation du reseau. 

15 Lors d'une premiere 6tape 101, le dispositif source 1 lance une 

requete sur le reseau, demandant a tout dispositif de presentation de lul 
transmettre sa cle publique. Sur la figure 1, nous avons represents un seuL 
dispositif de presentation mais naturellement, le r6seau numerique domestique* 
peut comporter plusieurs dispositifs de presentation differents raccordes au bus ,. 

20 4. Tous les dispositifs de presentation presents et en etat « d'eveil » sur le? 
reseau (c'est a dire ceux dont I'alimentation n'est pas coupee ou bien qui ne, , 
sont pas dans un mode de mise en veille avec une alimentation tres reduite des- 
circuits du dispositif) sont supposes repondre a la requite du dispositif source 
en renvoyant leur cle publique 

25 Nous supposerons dans la suite que la premiere cle regue par le 

dispositif source 1 est la cle publique Kpubt envoyee au cours de I'etape 102 
par le dispositif de presentation 2. Le dispositif source 1 prend en compte le 
premier message regu et echangera ensuite des messages avec le dispositif de 
presentation correspondant. 

30 Le dispositif source 1, et plus precisement le module convertisseur 

12, genere ensuite de maniere ateatoire une cle symetrique « court terme » K c 
et il memorise cette cle K c (etape 103). II utilise par exemple pour la generation 
de K c un generateur de nombre pseudo-aleatoire. 

La cle Kc est ensuite chiffree a I'etape 104 avec la cle publique K PU bt 

35 par rintenmediaire d f un algorithme de chiffrement asymetrique E1, par exemple 
Talgorithme « RSA OAEP » (pour « Rivest, Shamir, Adleman Optimal 
Asymmetric Encryption Padding » - decrit dans « PKCS#1: RSA Cryptography 
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Specifications, version 2.0 (October 1998) »), puis transmise sous forme 
chiffree E1{K PU bt}(Kc) au dispositif de presentation 2 (etape 105). Ce dernier 
dechiffre la cle Kc a I'aide se sa cle privee KPRIT puis il la chiffre de nouveau 
selon un algorithme de chiffrement symetrique E2 a I'aide de la cle symetrique 

5 de reseau K N (etape 106) et renvoie K c ainsi chiffree (i.e. E2{K N }(K C )) au 
dispositif source (etape 107), qui memorise cette information (etape 108), de 
preference dans son module convertisseur 12. 

A I'issu de cette premiere serie d'etapes 101 a 108, le dispositif 
source 1 possede done dans son module convertisseur 12, une cle symetrique 

10 Kc qui va pouvoir etre utilisee pour chiffrer des donnees, typiquement des mots 
de contr6les CW, et le chiffrement de cette cle K c a I'aide de la cle de reseau 
Kn. II est done pret a diffuser des donnees sur le reseau. On notera que le 
dispositif source ne connaTt pas la cle secrete de reseau K N . 

15 Les etapes ulterieures 109 a 1 13 illustrees a la figure 2 concernent la 

transmission de donnees « utiles », e'est a dire typiquement des donnees audio 
video embrouillees. 

Les donnees recues par le dispositif source 1 comportent des 
messages ECM. Le dispositif source dechiffre ces derniers pour en extraire les 

20 mots de controle CW puis il chiffre les mots de contr6le CW a I'aide de la cle 
symetrique K c par I'intermediaire d'un algorithme de chiffrement symetrique E3 
(etape 109). Le dispositif source 1 reinsere ensuite ces mots de controle 
chiffres (i.e. E3{K C }(CW)) dans le flux de donnees et transmet I'ensemble sur le 
bus 4 a destination du ou des dispositifs de presentation presents sur le reseau 

25 (etape 110). Le dispositif source envoie 6galement lors de I'etape 110 la cle K c 
chiffree a I'aide de K N qu'il avait precedemment memorisee a I'etape 108. En 
pratique, les donnees E2{K N }(K C ) et E3{K C }(CW) sont inserees dans le 
message LECM qui est transmis avec les donnees « utiles » embrouillees 
E4{CW}(<Donnees>). 

30 On notera egalement que les donnees utiles transmises a I'etape 

110 sont chiffrees selon un algorithme de chiffrement symetrique E4 a I'aide 
des mots de controle CW. 

Le dispositif de presentation 2 qui recoit les donnees transmises a 
I'etape 110 dechiffre tout d'abord E2{K N }(K C ) a I'aide de K N pour obtenir la cle 

35 K c qui est memorisee (etape 111) et, a I'aide de K c , il peut dechiffrer 
E3{K C }(CW) pour acceder aux mots de controle CW (etape 112) et ainsi 
desembrouiller les donnees utiles (etape 1 1 3). 
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Les algorithmes de chiffrement symetriques E2, E3 et E4 peuvent 
etre identiques ou differents. On pourra utiliser par exemple I'algorithme 
« AES » (pour « Advanced Encryption Standard » - aussi appele « Rijndael » - 
et decrit par J. Daemen et V. Rijmen dans « Proceedings from the First 
5 Advanced Encryption Standard Candidate Conference, National Institute of 
Standards and Technology (NIST), aoQt 1998 »), ou encore I'algorithme 
« TwoFish » (decrit dans I'article « TwoFish - a Block Encryption Algorithm » de 
B. Schneier, J. Kelsey, D. Whiting, D. Wagner< N. Ferguson et publie dans le 
meme rapport de conference NIST). 

10 

III] Renouvellement de la cle symetrique K c 

Lorsqu'il est necessaire de renouveler la cle Kc, notamment avant de 
diffuser un nouveau contenu numerique sur le reseau, on pourrait envisager 

15 d'utiliser le meme protocole que celui decrit a la figure 2 (etapes 101 a 108)./ 
Neanmoins, ce protocole implique des calculs de chiffrement utilisant des„. 
algorithmes asymetriques qui exigent une puissance de calcul assez importante 
et qui sont relativement long a mettre en ceuvre dans des processeurs de carte . 
a puce. C'est pourquoi, pour le renouvellement de la symetrique « court terme »- 7 

20 Kc, un second protocole est utilise. v 

La figure 3 illustre un premier mode de realisation de ce second 
protocole permettant le renouvellement de la cle symetrique Kc. 

A I'etape 200, le dispositif source 1 (ou plus precisement son module 
25 convertisseur 12) genere de maniere aleatoire une nouvelle cle symetrique K' c 
de la memefacon qu'a ete generee la cle Kc a I'etape 103 puis il memorise K' c . 

A I'etape suivante 201 , le dispositif source chiffre la nouvelle cle K' c 
a I'aide de la cle K c precedente en utilisant un algorithme de chiffrement 
symetrique E5 puis il diffuse sur le reseau (etape 202) le resultat de ce 
30 chiffrement E5{K C }(K' C ) accompagne de la cle K c elle-meme chiffree par la cle 
du reseau K N (E2{K N }(K C )). Cette valeur E2{K N }(K C ) avait en effet ete 
memorisee a I'issu du premier protocole a I'etape 108. 

Tout dispositif de presentation raccorde au reseau et en etat 
« d'eveil » recoit les donnees diffusees a I'etape 202 et il les traite 
35 conformement aux etapes 203 a 206. Nous supposons ici que le dispositif de 
presentation 2 est le premier dispositif de presentation qui repond au message 
diffuse par le dispositif source a I'etape 202. 
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Le dispositif de presentation (ou plus precisement son module 
terminal 22) dechiffre tout d'abord E2{K N }(K C ) avec la cle K N (etape 203), puis 
ayant recupere la cle K c , i! dechiffre E5{K C }(K ' c ) avec K c pour obtenir K'c (etape 
204). II chiffre ensuite la nouvelle cle K' c avec la cle de reseau K N (etape 205) 

5 avant de renvoyer le resultat de ce chiffrement E2{K N }(K'c) au dispositif source 
1 (etape 206). Le dispositif source remplace alors a I'etape 207 les valeurs de 
Kc et E2{Kn}(K c ) memorisees dans son module convertisseur 12 par les valeurs 
correspondant a la nouvelle cle : K'c et E2{Kn}(K'c). 

On constate done que pour obtenir une nouvelle cle symetrique K'c 

10 et son chiffrement a I'aide de la cle de r6seau K N , il n'a ete necessaire, selon le 
protocole decrit, d'effectuer que deux echanges de donnees (etapes 202 et 
206) entre le dispositif source et un dispositif de presentation. De plus, seuls 
des algorithrnes de chiffrement symetrique sont utilises dans ce protocole de 
renouvellement de cle ce qui allege les charges de calcul pour les processeurs 

15 situes dans les cartes a puces des dispositifs, en particulier pour celui du 
dispositif sou reel . 

On notera qu'apres ce renouvellement de cle, des donnees « utiles » 
peuvent etre diffusees par le dispositif source 1 de la meme maniere que 
precedemment a I'etape 110. Uetape 208 de la figure 3 illustre cette diffusion 

20 de donnees utilisant la nouvelle cle K'c a la place de la cle K c . Ces donnees 
sont exploitees par le dispositif de presentation 2 de la meme maniere qu'aux 
Stapes 111 a 113 de la figure 2. 

La figure 4 illustre une variante de ce mode de realisation permettant 
25 le renouvellement de la cle symetrique K c . 

Les etapes 300 a 304 sont identiques aux etapes 200 a 204 du 
protocole de la figure 3 qui ont deja ete decrites. 

A I'etape 305, au lieu de chiffrer directement la cle K'c obtenue a 
I'etape 304, le dispositif de presentation 2 (ou plus precisement son module 
30 terminal 22) calcule un nouveau nombre X en appliquant une fonction connue 
aux cles Kc et K'c. De maniere preferentielle, la fonction utilisee est la fonction 
XOR et on effectue a Tetape 305 : X = K c XOR K' c . 

Les etapes 306 et 307 sont similaires aux etapes 205 et 206 du 
protocole de la figure 3 sauf que le dispositif de presentation 2 chiffre le nombre 
35 X et non la cle Kc a Taide de la cle de reseau K N . 

Lorsque le dispositif source re?oit le message envoye a Petape 307, 
il effectue 3 Tetape 308 le calcul du nombre X a partir des cles K c et K' c en 
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utilisant la meme fonction qu'a I'etape 305. Ce calcul de X peut egalement §tre 
effectue auparavant a tout moment apres la generation de la nouvelle cle K' c . 

Le nombre X ainsi calcule et la valeur de son chiffrement a I'aide de 
la cle de reseau K N (E2{K N }(X)) sont ensuite memorises (etape 309) par le 
5 module convertisseur 12 du dispositif source 1 a la place de la cle symetrique 
K c precedente et de son chiffrement a I'aide de la cle de reseau (E2{K N }(K C )). 

A I'etape 310, qui n'est pas necessairement executee juste apres 
I'etape 309, nous avons illustre la maniere dont sont diffusees !es donnees 
« utiles » par le dispositif source 1 en utilisant la nouvelle cle symetrique X. 

10 

La figure 5 illustre un second mode de realisation du second 
protocole permettant le renouvellement de la cle symetrique Kc- 

Selon ce mode de realisation, lors d'une premiere etape 400, le 
dispositif source 1 (ou plus precisement son module convertisseur 12) genere 

is un nombre aleatoire D et il le memorise. II calcule ensuite (etape 401) la., 
nouvelle cle symetrique K'c en appliquant une fonction f a la cle K c memorisee , 
lors du premier protocole (a I'etape 103) et au nombre D. Le fonction f est v 
notamment une fonction de derivation classique telle qu'une fonction de* 
hachage (on peut par exemple utiliser la fonction SHA-1 decrite dans ley* 

20 document « Secure Hash Standard, FIPS PUB 180-1, National Institute of ;; 
Standard Technology, 1995 ») ou bien encore une fonction de cryptage telle.; 
que la fonction XOR. 

L'etape 402 correspond a Tetape 109 du protocole de la figure 2 et 
consiste a extraire les messages ECM inclus dans les donnees regues par le 

25 dispositif source pour les dechiffrer dans le module CA 14 et en extraire les 
mots de controle CW qui sont ensuite chiffres dans le module convertisseur en 
utilisant la nouvelle cle symetrique K' c . Par centre la diffusion des donnees 
« utiles » sur le reseau par le dispositif source est un peu differente de celle 
effectuee a Tetape 110. 

30 En effet, a Tetape 403, le dispositif source insere dans le message 

LECM la donnee D generee. a I'etape 400. II insere en outre dans ce message 
LECM : 

- la cle symetrique Kc initiate chiffree avec la cle du reseau Kn 
(E2{K N }(K C )) et 

35 - un ou des mots de controle CW chiffre(s) avec la nouvelle cle 

symetrique K' c (E3{K' C }(CW)). 



— I- ~ 
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Lorsque le dispositif de presentation 2 regoit les donnees diffusees a 
I'etape 403, i! dechfffre tout d'abord E2{K N }(K C ) avec la cle du reseau K N (etape 
404), puis il calcule la nouvelle cle symetrique K'c a partir de K c et de D en 
appliquant la fonction f (etape 405). Ayant obtenu K c, il peut ensuite dechiffrer 

5 E3{K c}(CW) pour obtenir le mot de controle CW (etape 406) et desembrouiller 
les donnees « utiles » a I'aide de ce mot de controle (etape 407). 

Grace a ce mode de realisation, il n'est pas necessaire d'effectuer un 
echange de donnees entre un dispositif source et un dispositif recepteur pour 
obtenir le renouvellement d'une cle symetrique Kc- Ceci est particulierement 

10 avantageux par exemple lorsque aucun dispositif de presentation n'est en etat 
« d'eveil » dans le reseau et qu'un utilisateur souhaite enregistrer un 
programme (contenu numerique) regu par le dispositif source. Le dispositif 
source pourra ainsi renouveler sa cle de chiffrement symetrique Kc sans avoir 
besoin d'un quelconque dispositif de presentation et pourra done diffuser des 

is donnees utiles accompagnees de messages LECM proteges par cette cle 
renouvelee pour que les donnees soient enregistrees dans une unite de 
stockage numerique telle que le magnetoscope 3 de la figure 1. 
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REVINDICATIONS 

1. Procede de gestion de cle symetrique dans un reseau de 
communication consistant a obtenir dans un dispositif d'un premier type 
5 contenant : 

- une premiere cle de chiffrement symetrique (Kc) et 

- ladite premiere cle symetrique (K c ) chiffree (E2{K N }(K C )) avec une 
seconde cle symetrique de reseau (K N ) connue seulement d'un dispositif d'un 
second type raccorde audit reseau ; 

io une nouvelle cle de chiffrement symetrique (K' c ) chiffree par ladite 

seconde cle symetrique (K N ) 

procede dans lequel la communication entre le dispositif d'un premier 
type et le dispositif d'un second type est securisee grace a la premiere cle 
symetrique (K c ). 
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